Sécurité

WannaCry 2.0 ? Petya V2 ? Un ransomware paralyse à nouveau de nombreuse entreprises

Alors que certains pensaient la Cyber Attaque WannaCry déjà loin derrière eux, on apprend aujourd’hui qu’une nouvelle attaque est en cours. De nombreuses entreprises dont des multinationales viennent d’être toujours dans les quatre coins de l’Europe. La campagne apparaît en effet massive et a fait des victimes en Ukraine, en Russie, en Espagne, en Grande-Bretagne et aussi en France.

Nous avons pour le moment peu d’informations sur cette attaque, mais les premières analyses semblent pointer du doigt le ransomware Petya (dans une version mise à jour) avec un déploiement via la faille Eternal Blue (La même faille utilisé par Wannacry). Cela parait irréaliste que de grands groupes comme Saint Gobain ou Mondèlo n’est pas encore patché leur ordinateurs et serveurs. Malgré que ce soit possible, il faut rester prudent.

Pour chaque PC compromis, les hackers réclament l’équivalent de 300 $ de rançon, évidemment payés en bitcoin.

A l’heure actuelle, les autres entreprises françaises victimes de cette campagne infectieuse ne sont pas encore connues. Mais des entreprises globales comme le transporteur maritime Maersk ou le pétrolier russe Rosneft ont déjà confirmé être touchés.

L’alerte est venue d’Ukraine, où la banque centrale a indiqué que diverses banques et entreprises du pays (dont le métro de Kiev, les services postaux, l’opérateur télécoms principal et le distributeur national d’énergie Ukrenergo) ont été visées par une attaque qui a perturbé leur fonctionnement habituel.

Port de rotterdam :

DAB en Ukraine :

Supermarché en Ukraine :

https://twitter.com/NewsReport365/status/879712029698912257

 

Selon divers experts en cybersécurité, la campagne en cours serait orchestrée avec une variante de Petya, une souche connue depuis le début 2016 et qui a la particularité de chiffrer l’intégralité du disque dur afin de contrarier les efforts de récupération de données des victimes. « Étant donné l’écran de demande de rançon qui s’affiche au redémarrage, et qui ne ressemble pas à un écran Windows, l’hypothèse Petya est pour l’instant la plus probable », dit Gérôme Billois. Selon  l’éditeur BitDefender, il s’agit plutôt d’une variante de GoldenEye, un ransomware ayant le même fonctionnement que Petya mais pour lequel il n’existe aucun outil permettant à une victime de retrouver les clefs avec lesquelles ses données ont été chiffrées.

Dans le doute, si vous n’avez toujours pas patché vos ordinateurs ou serveurs suite à la faille Eternal Blue et bien effectué le dès maintenant et n’attendez plus. Ensuite, prenez un fouet, donnez-le à l’un de vos collègues et subissez la sentence mérité…

Télécharger la mise à jour de sécurité MS17-010 pour votre système

Annexe :

Bulletin d’alerte de l’ANSSI : http://www.cert.ssi.gouv.fr/site/CERTFR-2017-ALE-012/CERTFR-2017-ALE-012.html

Nombre de personnes ayant payé la rançon : https://blockchain.info/address/1Mz7153HMuxXTuR2R1t78mGSdzaAtNbBWX

E-mail associé a cette infection :

[email protected]

Bitcoin adresse:

1Mz7153HMuxXTuR2R1t78mGSdzaAtNbBWX

Extensions ciblées :

.3ds.7z.accdb.ai.asp.aspx.avhd.back.bak.c.cfg.conf.cpp.cs.ctl.dbf.disk.djvu.doc.docx.dwg.eml.fdb.gz.h.hdd.kdbx.mail.mdb.msg.nrg.ora.ost.ova.ovf.pdf.php.pmf.ppt.pptx.pst.pvi.py.pyc.rar.rtf.sln.sql.tar.vbox.vbs.vcb.vdi.vfd.vmc.vmdk.vmsd.vmx.vsdx.vsv.work.xls.xlsx.xvd.zip.

Nom du fichier de rançon :

README.TXT

Texte de la rançon :

Send your Bitcoin wallet ID and personal installation key to e-mail
1Mz7153HMuxXTuR2R1t78mGSdzaAtNbBWX
Ooops, your important files are encrypted.
If you see this text, then your files are no longer accessible, because
they have been encrypted. Perhaps you are busy looking for a way to recover
your files, but don't waste your time. Nobody can recover your files without
our decryption service.
We guarantee that you can recover all your files safely and easily.
All you need to do is submit the payment and purchase the decryption key.
Please follow the instructions:
Send $300 worth of Bitcoin to following address:

Ne chiffre pas le dossier suivant :

C:\Windows;

Mikaël GUILLERM

Administrateur Système et Autoentrepreneur depuis 2009 pour la société zerobug. Je partage mes connaissances, problèmes et solutions à travers articles ou tweets !

Articles similaires

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Bouton retour en haut de la page